|
|
Исследование методов и средств защиты данных в компьютерных сетях. Исследование методов и средств защиты данных в компьютерных сетя. Исследование методов и средств защиты данных в компьютерных сетях по образовательной программе среднего профессионального образования
1.3 Основные методы и средства защиты информации в сетях
Разобрать подробно все методы и средства защиты информации в рамках ВКР просто невозможно. Охарактеризую только некоторые из них.
1.3.1 Физическая защита информации
К мерам физической защиты информации относятся:
защита от огня;
защита от воды и пожаротушащей жидкости
защита от коррозийных газов;
защита от электромагнитного излучения;
защита от вандализма;
защита от воровства и кражи;
защита от взрыва;
защита от падающих обломков;
защита от пыли;
защита от несанкционированного доступа в помещение.
Какие же действия нужно предпринять, чтобы обеспечить физическую безопасность?
В первую очередь надо подготовить помещение, где будут стоять серверы. Обязательное правило: сервер должен находиться в отдельной комнате, доступ в которую имеет строго ограниченный круг лиц. В этом помещении следует установить кондиционер и хорошую систему вентиляции. Там же можно поместить мини-АТС и другие жизненно важные технические системы.
Разумным шагом станет отключение неиспользуемых дисководов, параллельных и последовательных портов сервера. Его корпус желательно опечатать. Все это осложнит кражу или подмену информации даже в том случае, если злоумышленник каким-то образом проникнет в серверную комнату. Не стоит пренебрегать и такими тривиальными мерами защиты, как железные решетки и двери, кодовые замки и камеры видеонаблюдения, которые будут постоянно вести запись всего, что происходит в ключевых помещениях офиса.
Другая характерная ошибка связана с резервным копированием. О его необходимости знают все, так же как и о том, что на случай возгорания нужно иметь огнетушитель. А вот о том, что резервные копии нельзя хранить в одном помещении с сервером, почему-то забывают1. В результате, защитившись от информационных атак, фирмы оказываются беззащитными даже перед небольшим пожаром, в котором предусмотрительно сделанные копии гибнут вместе с сервером.
Часто, даже защитив серверы, забывают, что в защите нуждаются и всевозможные провода - кабельная система сети. Причем, нередко приходится опасаться не злоумышленников, а самых обыкновенных уборщиц, которые заслуженно считаются самыми страшными врагами локальных сетей2. Лучший вариант защиты кабеля — это короба, но, в принципе, подойдет любой другой способ, позволяющий скрыть и надежно закрепить провода. Впрочем, не стоит упускать из вида и возможность подключения к ним извне для перехвата информации или создания помех, например, посредством разряда тока. Хотя, надо признать, что этот вариант мало распространен и замечен лишь при нарушениях работы крупных фирм.
Помимо Интернета, компьютеры включены еще в одну сеть - обычную электрическую. Именно с ней связана другая группа проблем, относящихся к физической безопасности серверов. Ни для кого не секрет, что качество современных силовых сетей далеко от идеального. Даже если нет никаких внешних признаков аномалий, очень часто напряжение в электросети выше или ниже нормы. При этом большинство людей даже не подозревают, что в их доме или офисе существуют какие-то проблемы с электропитанием.
Пониженное напряжение является наиболее распространенной аномалией и составляет около 85% от общего числа различных неполадок с электропитанием. Его обычная причина - дефицит электроэнергии, который особенно характерен для зимних месяцев. Повышенное напряжение почти всегда является следствием какой-либо аварии или повреждения проводки в помещении. Часто в результате отсоединения общего нулевого провода соседние фазы оказываются под напряжением 380 В. Бывает также, что высокое напряжение возникает в сети из-за неправильной коммутации проводов.
Источниками импульсных и высокочастотных помех могут стать разряды молний, включение или отключение мощных потребителей электроэнергии, аварии на подстанциях, а также работа некоторых бытовых электроприборов. Чаще всего такие помехи возникают в крупных городах и в промышленных зонах. Импульсы напряжения при длительности от наносекунд (10
9 с) до микросекунд (10
6 с) могут по амплитуде достигать нескольких тысяч вольт. Наиболее уязвимыми к таким помехам оказываются микропроцессоры и другие электронные компоненты. Нередко непогашенная импульсная помеха может привести к перезагрузке сервера или к ошибке в обработке данных. Встроенный блок питания компьютера, конечно, частично сглаживает броски напряжения, защищая электронные компоненты компьютера от выхода из строя, но остаточные помехи все равно снижают срок службы аппаратуры, а также приводят к росту температуры в блоке питания сервера.
Для защиты компьютеров от высокочастотных импульсных помех служат сетевые фильтры (например, марки Pilot), оберегающие технику от большинства помех и перепадов напряжения. Кроме того, компьютеры с важной информацией следует обязательно оснащать источником бесперебойного питания (UPS). Современные модели UPS не только поддерживают работу компьютера, когда пропадает питание, но и отсоединяют его от электросети, если параметры электросети выходят из допустимого диапазона.
1.4 Аппаратные средства защиты информации в КС
К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав технических средств КС и выполняющие (самостоятельно или в едином комплексе с программными средствами) некоторые функции обеспечения информационной безопасности. Критерием отнесения устройства к аппаратным, а не к инженерно-техническим средствам защиты является обязательное включение в состав технических средств КС [3].
К основным аппаратным средствам защиты информации относятся:
• устройства для ввода идентифицирующей пользователя информации (магнитных и пластиковых карт, отпечатков пальцев и т.п.);
• устройства для шифрования информации;
• устройства для воспрепятствования несанкционированному включению рабочих станций и серверов (электронные замки и блокираторы).
Примеры вспомогательных аппаратных средств защиты информации:
• устройства уничтожения информации на магнитных носителях;
• устройства сигнализации о попытках несанкционированных действий пользователей КС и др.
Аппаратные средства привлекают все большее внимание специалистов не только потому, что их легче защитить от повреждений и других случайных или злоумышленных воздействий, но еще и потому, что аппаратная реализация функций выше по быстродействию, чем программная, а стоимость их неуклонно снижается.
На рынке аппаратных средств защиты появляются все новые устройства. Ниже приводится в качестве примера описание электронного замка.
Электронный замок «Соболь»
«Соболь», разработанный и поставляемый ЗАО НИП «Информзащита», обеспечивает выполнение следующих функций защиты:
идентификация и аутентификация пользователей;
контроль целостности файлов и физических секторов жесткого диска;
блокировка загрузки ОС с дискеты и CD-ROM;
блокировка входа в систему зарегистрированного пользователя при превышении им заданного количества неудачных попыток входа;
регистрация событий, имеющих отношение к безопасности системы.
Идентификация пользователей производится по индивидуальному ключу в виде «таблетки» Touch Memory, имеющей память до 64 Кбайт, а аутентификация — по паролю длиной до 16 символов.
Контроль целостности предназначен для того, чтобы убедиться, что программы и файлы пользователя и особенно системные файлы ОС не были модифицированы злоумышленником или введенной им программной закладкой. Для этого в первую очередь в работу вступает разборщик файловой системы ОС: расчет эталонных значений и их контроль при загрузке реализован в «Соболе» на аппаратном уровне. Построение же списка контроля целостности объектов выполняется с помощью утилиты ОС, что в принципе дает возможность программе-перехватчику модифицировать этот список, а ведь хорошо известно, что общий уровень безопасности системы определяется уровнем защищенности самого слабого звена.
1.5 Программные средства защиты информации в КС
Под программными средствами защиты информации понимают специальные программы, включаемые в состав программного обеспечения КС исключительно для выполнения защитных функций.
К основным программным средствам защиты информации относятся:
• программы идентификации и аутентификации пользователей КС;
• программы разграничения доступа пользователей к ресурсам КС;
• программы шифрования информации;
• программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения и т. п.) от несанкционированного изменения, использования и копирования.
Надо понимать, что под идентификацией, применительно к обеспечению информационной безопасности КС, понимают однозначное распознавание уникального имени субъекта КС. Аутентификация означает подтверждение того, что предъявленное имя соответствует данному субъекту (подтверждение подлинности субъекта).
Также к программным средствам защиты информации относятся:
программы уничтожения остаточной информации (в блоках оперативной памяти, временных файлах и т. п.);
программы аудита (ведения регистрационных журналов) событий, связанных с безопасностью КС, для обеспечения возможности восстановления и доказательства факта происшествия этих событий;
программы имитации работы с нарушителем (отвлечения его на получение якобы конфиденциальной информации);
программы тестового контроля защищенности КС и др.
К преимуществам программных средств защиты информации относятся:
простота тиражирования;
гибкость (возможность настройки на различные условия применения, учитывающие специфику угроз информационной безопасности конкретных КС);
простота применения — одни программные средства, например шифрования, работают в «прозрачном» (незаметном для пользователя) режиме, а другие не требуют от пользователя никаких новых (по сравнению с другими
изменений для учета новых угроз безопасности информации
практически неограниченные возможности их развития путем.
Рисунок 4 - Пример пристыкованного программного средства  щиты.программами)
Рисунок 5 - Пример встроенного программного средства защиты.
К недостаткам программных средств защиты информации относятся:
снижение эффективности КС за счет потребления ее ресурсов, требуемых для функционирования программ защиты;
более низкая производительность (по сравнению с выполняющими аналогичные функции аппаратными средствами защиты, например шифрования);
пристыкованность многих программных средств защиты (а не их встроенность в программное обеспечение КС, Рисунок4 и 5), что создает для нарушителя принципиальную возможность их обхода;
возможность злоумышленного изменения программных средств защиты в процессе эксплуатации КС.
1.5.1 Защита на уровне операционной системы
Операционная система является важнейшим программным компонентом любой вычислительной машины, поэтому от уровня реализации политики безопасности в каждой конкретной ОС во многом зависит и общая безопасность информационной системы.
Операционная система MS-DOS является ОС реального режима микропроцессора Intel, а потому здесь не может идти речи о разделении оперативной памяти между процессами. Все резидентные программы и основная программа используют общее пространство ОЗУ. Защита файлов отсутствует, о сетевой безопасности трудно сказать что-либо определенное, поскольку на том этапе развития ПО драйверы для сетевого взаимодействия разрабатывались не фирмой MicroSoft, а сторонними разработчиками.
Семейство операционных систем Windows – это клоны, изначально ориентированные на работу в домашних ЭВМ. Эти операционные системы используют уровни привилегий защищенного режима, но не делают никаких дополнительных проверок и не поддерживают системы дескрипторов безопасности. В результате этого любое приложение может получить доступ ко всему объему доступной оперативной памяти как с правами чтения, так и с правами записи. Меры сетевой безопасности присутствуют, однако, их реализация не на высоте. Более того, в версии Windows 95 была допущена основательная ошибка, позволяющая удаленно буквально за несколько пакетов приводить к «зависанию» ЭВМ, что также значительно подорвало репутацию ОС, в последующих версиях было сделано много шагов по улучшению сетевой безопасности этого клона.
Поколение операционных систем Windows 8, 10 уже значительно более надежная разработка компании Microsoft. Они являются действительно многопользовательскими системами, надежно защищающими файлы различных пользователей на жестком диске (правда, шифрование данных все же не производится и файлы можно без проблем прочитать, загрузившись с диска другой операционной системы – например, MS-DOS). Данные ОС активно используют возможности защищенного режима процессоров Intel, и могут надежно защитить данные и код процесса от других программ, если только он сам не захочет предоставлять к ним дополнительного доступа извне процесса.
За долгое время разработки было учтено множество различных сетевых атак и ошибок в системе безопасности. Исправления к ним выходили в виде блоков обновлений (англ. service pack).
Другая ветвь клонов растет от операционной системы UNIX. Эта ОС изначально разрабатывалась как сетевая и многопользовательская, а потому сразу же содержала в себе средства информационной безопасности. Практически все широко распространенные клоны UNIX прошли долгий путь разработки и по мере модификации учли все открытые за это время способы атак. Достаточно себя зарекомендовали: LINUX, OpenBSD, FreeBSD, Sun Solaris. Естественно все сказанное относится к последним версиям этих операционных систем. Основные ошибки в этих системах относятся уже не к ядру, которое работает безукоризненно, а к системным и прикладным утилитам. Наличие ошибок в них часто приводит к потере всего запаса прочности системы.
1.5.2 Криптографические методы защиты
Криптография — это наука об обеспечении безопасности данных. Она занимается поисками решений четырех важных проблем безопасности - конфиденциальности, аутентификации, целостности и контроля участников взаимодействия. Шифрование — это преобразование данных в нечитабельную форму, используя ключи шифрования-расшифровки. Шифрование позволяет обеспечить конфиденциальность, сохраняя информацию в тайне от того, кому она не предназначена.
Криптография занимается поиском и исследованием математических методов преобразования информации.
Современная криптография включает в себя четыре крупных раздела:
симметричные криптосистемы;
криптосистемы с открытым ключом;
системы электронной подписи;
управление ключами.
Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.
Шифрование дисков
Зашифрованный диск – это файл-контейнер, внутри которого могут находиться любые другие файлы или программы (они могут быть установлены и запущены прямо из этого зашифрованного файла). Этот диск доступен только после ввода пароля к файлу-контейнеру – тогда на компьютере появляется еще один диск, опознаваемый системой как логический и работа с которым не отличается от работы с любым другим диском. После отключения диска логический диск исчезает, он просто становится «невидимым».
На сегодняшний день наиболее распространенные программы для создания зашифрованных дисков – DriveCrypt, BestCrypt и PGPdisk. Каждая из них надежно защищена от удаленного взлома.
2 ПРОЕКТ СЕТИ С УЧЁТОМ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
2.1 Методы и средства защиты информации в компьютерных сетях предприятий
Даже самые современные программные средства защиты информации не смогут обеспечить достаточный уровень информационной безопасности сети, если не организована ее физическая защита от проникновения посторонних лиц извне помещения.
Поэтому, на любом предприятии очень важно обеспечить защиту, прежде всего, от физического доступа посторонних лиц к локальной сети, который порой могут причинить еще больше вреда, чем самое опасное вредоносное программное обеспечение - например, украсть сервер, рабочие станции, повредить кабели и прочее. Кроме того, вред может нанести пожар или взрыв.
Для начала выделим основные объекты на предприятии, которые нуждаются в защите с точки зрения информационной безопасности:
сервер локальной сети;
автоматизированные рабочие места сотрудников;
непосредственно конфиденциальная информация (печатные, электронные документы, базы данных и прочее);
доступ в кабинет директора, главного инженера, главного технолога;
другие помещения с конфиденциальной информацией (например, бухгалтерия).
Поэтому, на предприятии должны быть приняты следующие меры обеспечения физической безопасности:
осуществляется охрана и пропускной режим на территорию предприятия, заключен договор с охранным предприятием;
ведется скрытое видео наблюдение в наиболее уязвимых для проникновения посторонних лиц участках;
разработан режим противопожарной безопасность, план эвакуации, система автономного оповещения о пожарной опасности.
Также, очень важны организационно-правовые методы обеспечения информационной безопасности. В частности:
разработаны должностные инструкции всех сотрудников, которые четко регламентируют их права и обязанности в различных ситуациях;
юристом и инспектором кадров разработаны дополнительные соглашения ко всем трудовым договорам работников, которые обязывают соблюдать их режим конфиденциальности внутренней информации предприятия;
существуют инструкции для охраны территории предприятия, работы с сигнализацией и видео наблюдением, которые должна строго соблюдать охрана;
присутствует подробное описание технологического процесса обработки компьютерной информации на предприятии;
имеется положение о конфиденциальном документообороте, с которым ознакомлены сотрудники в установленном законом порядке.
Кроме того, правовое обеспечение системы защиты конфиденциальной информации включает в себя комплекс внутренней нормативно-организационной документации, в которую входят такие документы предприятия, как:
Устав Общества с ограниченной ответственностью;
коллективный трудовой договор;
трудовые договоры с сотрудниками предприятия;
правила внутреннего распорядка сотрудников предприятия;
должностные обязанности руководителей, специалистов и работников предприятия.
инструкции пользователей информационно-вычислительных сетей и баз данных;
инструкции сотрудников, ответственных за защиту информации;
памятка сотрудника о сохранении коммерческой или иной тайны;
иные договорные обязательства.
Практически все перечисленные выше нормативные документы, так или иначе, содержат нормы, которые устанавливают обязательные для всех правила для обеспечения необходимого уровня информационной безопасности на предприятии.
Кроме того, правовое обеспечение дает возможность урегулировать многие спорные вопросы, неизбежно возникающие в процессе информационного обмена на самых разных уровнях - от речевого общения до передачи данных в компьютерных сетях.
Образуется юридически оформленная система административных мер, позволяющая применять взыскания или санкции к нарушителям внутренней политики безопасности, а также устанавливать достаточно четкие условия по обеспечению конфиденциальности сведений, используемых или формируемых при сотрудничестве между субъектами экономики, выполнении ими договорных обязательств, осуществлении совместной деятельности и т.п.
При этом стороны, не выполняющие эти условия, несут ответственность в рамках, предусмотренных как соответствующими пунктами меж сторонних документов (договоров, соглашений, контрактов и пр.), так и российским законодательством.
Оценка эффективности функционирования компьютерных сетей базируется на основополагающих, методологических предпосылках. Главные из них заключаются в следующем.
Компьютерная сеть принадлежит к классу человеко-машинных систем (ЧМС). Это относится и к отдельным функциональным частям сети (подсистемам). Следовательно, при исследовании эффективности КС, независимо от ее принадлежности к тому или иному типу ЧМС, необходимо учитывать параметры и характеристики всех трех компонентов: человека (обслуживающего и управленческого персонала сети и пользователей), машины (программно-аппаратных и информационных средств сети) и производственной среды.
Компьютерная сеть – сложная многофункциональная человеко-машинная система, процесс функционирования которой определяется многими показателями, параметрами и факторами. В связи с этим проводить оценку эффективности такой системы как единого целого не всегда целесообразно и нередко трудно осуществимо. Оценку можно выполнять сначала отдельно для крупных функциональных частей сети, а затем полученные дифференциальные оценки использовать для формирования интегральных оценок всей сети.
Эффективность КС должна оцениваться с учетом влияния на процессы функционирования сети всех факторов.
|
|
|
Скачать 381.05 Kb.